Azure 存储提供多层网络安全,以保护数据并控制对存储帐户的访问。 本文概述了可用于 Azure 存储帐户的关键网络安全功能和配置选项。 可以通过要求 HTTPS 连接、实现专用终结点以实现最大隔离或通过防火墙规则和网络安全外围配置公共终结点访问来保护存储帐户。 每种方法提供不同的安全性和复杂性级别,使你能够根据特定要求、网络体系结构和安全策略选择正确的组合。
Note
发出允许源请求的客户端还必须满足存储帐户的授权要求。 若要详细了解帐户授权,请参阅 授权访问 Azure 存储中的数据。
安全连接 (HTTPS)
默认情况下,存储帐户仅接受通过 HTTPS 发出的请求。 任何通过 HTTP 发出的请求都会被拒绝。 建议对所有存储账户启用安全传输要求,但当 NFS Azure 文件共享与网络级安全性配合使用时除外。 若要验证帐户是否仅接受来自安全连接的请求,请确保已启用存储帐户 的安全传输所需 属性。 若要了解详细信息,请参阅 “要求安全传输”以确保安全连接。
Private endpoints
在可能的情况下,创建存储帐户的专用链接,以通过 专用终结点保护访问。 专用终结点将虚拟网络中的专用 IP 地址分配给存储帐户。 客户端使用专用链接连接到存储帐户。 流量通过Microsoft主干网络路由,确保流量不会通过公共 Internet 传输。 可以使用 专用终结点的网络策略微调访问规则。 若要仅允许来自专用链接的流量,可以通过公共终结点阻止所有访问。 专用终结点会产生额外的成本,但提供最大的网络隔离。 若要了解详细信息,请参阅 对 Azure 存储使用专用终结点。
Public endpoints
存储帐户的公共终结点通过公共 IP 地址进行访问。 可通过使用防火墙规则或将存储帐户添加到网络安全外围来保护存储帐户的公共终结点。
Firewall rules
防火墙规则允许将流量限制到公共终结点。 它们不会影响到专用终结点的流量。
必须先启用防火墙规则,然后才能对其进行配置。 默认情况下,启用防火墙规则会阻止所有传入请求。 仅当请求源自在指定的源中运行的客户端或服务时,才允许这些请求。 通过设置存储帐户的默认公共网络访问规则来启用防火墙规则。 若要了解如何执行此作,请参阅 设置 Azure 存储帐户的默认公共网络访问规则。
使用防火墙规则允许来自以下任何源的流量:
- 一个或多个 Azure 虚拟网络中的特定子网
- IP 地址范围
- Resource instances
- 受信任的 Azure 服务
若要了解详细信息,请参阅 Azure 存储防火墙规则。
防火墙设置特定于存储帐户。 如果要围绕一组存储帐户和其他资源管理一组入站和出站规则,请考虑设置网络安全外围。
复制操作范围(预览版)
可以使用“复制操作的允许范围”预览功能,通过将源限制为同一 Microsoft Entra 租户或带有专用链接的虚拟网络,来限制向存储账户的数据复制。 这有助于防止不需要的数据渗透到不受信任的环境中。 若要了解详细信息,请参阅 将复制操作的源头限制到某个存储帐户。